本文介绍了YARA的基础知识,包括YARA的关键字如rule、strings和condition,详细阐述了YARA的语法,如注释、字符串定义和条件区域。此外,还提及了命令行参数的使用,当目标文件或进程符合规则时,YARA会输出相应的信息。
YARA基础
YARA关键字
| all | in | private | and | include |
|---|---|---|---|---|
| rule | any | index | rva | ascii |
| indexes | section | at | int8 | strings |
| condition | int16 | them | contains | int32 |
| true | entrypoint | matches | uint8 | false |
| meta | uint16 | filesize | nocase | uint32 |
| fullword | not | wide | for | or |
| global | of |
关键字解释:
rule:规则标识
strings:字符串区域
condition:条件区域
字符串末尾标注的关键字:
nocase:表示匹配大小写
wide:表示是宽字节
ascii:表示是ASCII码
fullword:表示匹配单个词组文本字符串
语法
//:单行注释
/**/:多行注释
$:字符串定义
#:表示字符串在文件或内存中出现的次数
condtion:
#a == 1 or #b > 4 and #c < 6 //a出现1次或b大于四次且c小于6次
at:表示字符串在文件中的偏移量条件或虚拟地址的条件<
最低0.47元/天 解锁文章
扫一扫
1116
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
